Le rapport « Reused login credentials » publié par Trusteer risque de donner des sueurs froides à nos chers banquiers et réjouir les amateurs de fric-frac en ligne. Selon cette étude, 73% des mots de passe utilisés pour accéder à un compte en ligne servent également à leurs possesseurs pour ouvrir des sessions sur d’autres services non bancaires (forums, magasins en ligne etc). 47 % des usagers vont même jusqu’à utiliser la totalité de leurs crédences bancaires (login ET mot de passe) sur d’autres sites. Lorsque la banque impose l’identifiant, 42 % de leurs clients ré-utilisent ledit identifiant sur au moins un autre site, et si cette même banque décide que chaque usager doit pouvoir choisir cet identifiant, 65 % des personnes auront tendance à partager celui-ci avec d’autres services.
Ce que ne précise pas le rapport et que l’on pourrait ajouter, c’est que, particulièrement en France, les identifiants imposés par les banques sont lus par au moins 3 personnes différentes et expédiés aux client sous simple pli postal contenant à la fois l’identifiant et le mot de passe « par défaut ». Qu’il n’existe généralement aucune procédure permettant de changer ledit identifiant (ce qui correspond à « offrir » la moitié du travail à un pirate effectuant une tentative d’intrusion), que dans la plupart des cas, les symboles et diacritiques sont exclus des caractères autorisés dans le mot de passe, louable effort visant à ne pas trop surcharger les ordinateurs des « bruteforcers » peut-être …